Chybeta

流量包提取文件方法

流量包提取文件方法

wireshark

wrieshark自带有文件分离功能。

tcpxtract

通过下面命令安装:

1
apt-get install tcpxtract

使用方法:

1
tcpxtract -f XXX.pcap

以hitctf2017的Cephalopod为例

1
2
3
root@chybeta:~/Desktop/hitb2017/misc/Cephalopod# tcpxtract -f 2a9c1cdd-2ac0-4b2a-828d-269c6e04ebbb.pcap
Found file of type "png" in session [10.0.2.7:49818 -> 10.0.2.10:36890], exporting to 00000000.png
Found file of type "png" in session [10.0.2.7:49818 -> 10.0.2.10:36890], exporting to 00000001.png

即可得到藏在流量包里的文件:

foremost

foremost是基于文件头及尾部信息恢复文件的工具。

使用方法:

1
foremost -i XXX.pcap

以hitbctf2017的simple_transfer为例

1
2
3
4
5
6
7
8
root@chybeta:~/Desktop/hitb2017/misc/simple_transfer# foremost -i b48bfaf7-d728-4ae3-94b7-cd8b2e6e9077.pcap
Processing: b48bfaf7-d728-4ae3-94b7-cd8b2e6e9077.pcap
|*|
root@chybeta:~/Desktop/hitb2017/misc/simple_transfer# ls
b48bfaf7-d728-4ae3-94b7-cd8b2e6e9077.pcap output
root@chybeta:~/Desktop/hitb2017/misc/simple_transfer# cd output/
root@chybeta:~/Desktop/hitb2017/misc/simple_transfer/output# ls
audit.txt pdf

即可恢复出藏在流量包里的文件。

Network miner

下载地址:https://sourceforge.net/projects/networkminer/

还有一些方法,遇到后再慢慢补充。

Refference

点击赞赏二维码,您的支持将鼓励我继续创作!
chybeta WeChat Pay

微信打赏

chybeta Alipay

支付宝打赏

本文标题:流量包提取文件方法

文章作者:chybeta

发布时间:2017年08月25日 - 17:08

最后更新:2017年08月25日 - 18:08

原始链接:http://chybeta.github.io/2017/08/25/流量包提取文件方法/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。